Trojan ngân hàng Grandoreiro trở lại, nhắm mục tiêu hơn 1.500 ngân hàng trên toàn cầu

IBM X-Force cho biết các cuộc tấn công lừa đảo quy mô lớn nhắm mục tiêu vào hơn 1.500 ngân hàng trên toàn thế giới, trải rộng trên hơn 60 quốc gia ở Trung và Nam Mỹ, Châu Phi, Châu Âu và Ấn Độ Dương-Thái Bình Dương.

Mặc dù Grandoreiro chủ yếu tập trung hoạt động tại Châu Mỹ Latinh, Tây Ban Nha và Bồ Đào Nha, nhưng việc mở rộng phạm vi tấn công này có thể là một sự thay đổi trong chiến lược sau những nỗ lực triệt phá cơ sở hạ tầng của chính quyền Brazil.

Bên cạnh việc mở rộng phạm vi nhắm mục tiêu, các tác nhân đe dọa cũng cải tiến phần mềm độc hại, cho thấy sự phát triển đáng lưu ý của mối đe dọa này.

Các nhà nghiên cứu bảo mật Golo Mühr và Melissa Frydrych cho biết: “Phân tích phần mềm độc hại cho thấy những thay đổi lớn trong thuật toán giải mã chuỗi và tạo tên miền (DGA), cũng như khả năng lạm dụng ứng dụng Microsoft Outlook trên các máy bị xâm phạm để phát tán các email lừa đảo”.

Các cuộc tấn công bắt đầu bằng các email lừa đảo nhằm lừa người nhận nhấp vào liên kết để xem hóa đơn hoặc thanh toán, tùy thuộc vào mục tiêu nhắm tới và tổ chức bị mạo danh.

Người dùng nhấp vào liên kết trong email sẽ được chuyển hướng đến hình ảnh của biểu tượng PDF, sau đó dẫn đến việc tải xuống tệp ZIP chứa tệp thực thi Grandoreiro loader.

Phần mềm loader đã được phóng đại kích thước lên hơn 100 MB nhằm vượt qua kiểm tra của công cụ quét mã độc. Nó cũng được thiết kế để đảm bảo rằng máy chủ bị xâm nhập không ở trong môi trường sandbox, thu thập thông tin của nạn nhân và gửi đến máy chủ kiểm soát tấn công (C2), đồng thời tải xuống và thực thi trojan ngân hàng.

Một điểm đáng chú ý là phần mềm độc hại thực hiện thêm một bước xác minh để bỏ qua các hệ thống được định vị ở Nga, Séc, Ba Lan và Hà Lan, cũng như các máy Windows 7 có trụ sở tại Mỹ chưa cài đặt phần mềm chống vi-rút.

Phần mềm trojan bắt đầu thực thi bằng cách thiết lập khả năng truy cập lâu dài thông qua Windows Register, sau đó nó sử dụng một DGA đã được chỉnh sửa để thiết lập kết nối đến máy chủ C2 để nhận lệnh tấn công sau đó.

Grandoreiro cung cấp nhiều lệnh khác nhau cho phép kẻ tấn công điều khiển hệ thống từ xa, thực hiện các thao tác tệp và kích hoạt các chế độ đặc biệt, bao gồm một mô-đun mới dùng để thu thập dữ liệu Microsoft Outlook và lạm dụng tài khoản email của nạn nhân để gửi tin nhắn lừa đảo đến các mục tiêu khác.

Các nhà nghiên cứu cho biết: “Bằng cách sử dụng ứng dụng Outlook cục bộ để phát tán thư rác, Grandoreiro có thể lây lan qua hộp thư đến của nạn nhân bị nhiễm qua email, điều này có thể góp phần tạo ra lượng lớn thư rác đã được phát hiện”.

Để giảm thiểu nguy cơ trở thành nạn nhân của các chiến dịch tấn công như vậy, người dùng luôn phải cảnh giác khi nhận được email lạ, KHÔNG truy cập vào đường link hay tải xuống/mở tệp đính kèm trong email nếu email này được gửi từ nguồn không tin cậy hoặc nội dung email có bất kỳ điểm đáng ngờ nào.